米国時間9月3日、ソフトウェアのエクスプロイトを買い取り、各国の政府や法執行機関に販売するとうたっている企業Zerodiumは、同社の買い取り価格のリストを改訂し、「Android」を対象としたエクスプロイトに、これまでで初めて「iOS」を対象としたものを上回る価格を付けた。
同社によれば、この日以降、Androidを対象としたクリック不要の(ユーザーの関与を必要としない)エクスプロイトチェーンを提供したハッカーやセキュリティ研究者には、最大で250万ドル(約2億6000万円)の報酬が支払われる。一方、iOSを対象とした同様エクスプロイトチェーンの価格は200万ドル(約2億1000万円)となっている。
ZerodiumのAndroid用エクスプロイトの新しい価格は、1年前の価格である最大20万ドル(約2100万円)と比べ12倍以上で、当時、同社がより影響が小さい一部のAndroid用エクスプロイトに付けていた価格の100倍にもなる。
Zerodiumの新しいエクスプロイト買い取り価格 画像:Zerodium
Zerodiumの今回の発表は、Googleがこの日に予定していた「Android 10」の公式リリースにタイミングを合わせたようだ。Googleの広報担当者は、コメントの求めに応じなかった。
IMを対象としたエクスプロイトの価格も上昇
同社は同時に、インスタントメッセージング(IM)クライアントを対象としたエクスプロイトの価格も、OSに関わらず引き上げていると発表した。
「WhatsApp」および「iMessage」が対象の、遠隔からコードを実行可能な脆弱性とローカルにおける特権昇格を組み合わせた、ユーザーの関与を必要としないエクスプロイトチェーンに対しては、再起動後に永続しない場合でも最大で150万ドル(約1億6000万円)が支払われる。
ユーザーの関与が必要(ワンクリック)な場合、WhatsApp用のエクスプロイトチェーンの価格は最大100万ドル(約1億1000万円)に、iMessage用は最大50万ドル(約5500万円)に下がる。
1年前には、これらのメッセージングアプリの同様の脆弱性には、最大で50万ドル(約5500万円)の値が付いていた。
市場の変化
Zerodiumは公式Twitterアカウントのツイートで、今回の買い取り価格の増額は「市場動向に変化に伴うもの」だと述べている。
この説明は、2019年3月に同社がクラウド関連技術を対象としたゼロデイ攻撃買い取りプログラムについて明らかにした際、米ZDNetの取材に対してZerodiumの最高経営責任者(CEO)Chaouki Bekrar氏が行った発言ともつじつまが合う。
Bekrar氏は当時、Zerodiumの顧客は特定のエクスプロイトチェーンを求めており、同社は該当するエクスプロイトの提供に対する報酬を増額することで対応していると述べていた。
つまり、今回の買い取り価格の増額は、各国の法執行機関や政府機関が、最近になってAndroidデバイスのソフトウェアエクスプロイトの入手に高い関心を示していることを意味する可能性がある。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
